Cinco buenas prácticas para garantizar la seguridad de las API de terceros
Las interfaces de programación de aplicaciones (API) se han convertido en parte integral del establecimiento de funcionalidad y flexibilidad. Pero también son potenciales vectores de ataque que deben estar muy presentes en el radar del equipo de seguridad.
Cuando las organizaciones se plantean la seguridad de las interfaces de programación de aplicaciones (API), suelen centrarse en proteger las API escritas internamente. Sin embargo, no todas las API que utilizan las empresas se desarrollan internamente, sino que algunas son diseñadas y desarrolladas por otras organizaciones. El problema es que muchas empresas no se dan cuenta de que el uso de API de terceros puede exponer sus aplicaciones a problemas de seguridad, como programas maliciosos, filtraciones de datos y accesos no autorizados.
Las API de terceros son interfaces de software que permiten a las organizaciones aprovechar la funcionalidad o los datos de terceros en sus propios sitios web o aplicaciones. Estas API de terceros permiten a los desarrolladores integrar sus aplicaciones o sistemas con servicios, datos o funcionalidades externas, explica Phil Quitugua, director de ciberseguridad de la empresa de investigación y asesoramiento tecnológico ISG.
Algunas de las API de terceros más populares son las aplicaciones de navegación, las plataformas de redes sociales y las herramientas de procesamiento de pagos digitales. "Se trata de API que terceros, como Google o Facebook, por ejemplo, ponen a tu disposición para que puedas acceder a sus datos o funcionalidades en tu propio sitio web o aplicación", explica Paul Scanlon, vicepresidente de producto de DataDome. "A todo el mundo le encantan las API. Al permitir que todo tipo de dispositivos y aplicaciones intercambien información a través de todo tipo de protocolos de comunicación, las API ayudan a los desarrolladores a crear grandes experiencias de usuario de forma mucho más fácil y eficiente".
Pero dentro de la ubicuidad y popularidad de las API se esconde un talón de Aquiles para la seguridad: alrededor del 94% de las empresas han experimentado problemas de seguridad en las API de producción en el último año y el 17% fueron objeto de una brecha relacionada con las API, según el informe State of API Security Q1 2023 de Salt Security. De ahí la necesidad de implementar la seguridad de las API de terceros.
Por qué es tan importante garantizar la seguridad de las aplicaciones de terceros
Las API de terceros necesitan una seguridad sólida porque pueden ser puntos débiles, afirma Jim McKenney, director de prácticas de tecnologías industriales y operativas de NCC Group. Si no están protegidas, pueden filtrar datos confidenciales o causar problemas con el software original.
"La seguridad de las API protege las comunicaciones entre programas, como la API de OpenStreetMap, de las ciberamenazas", afirma McKenney. "Defiende contra ataques maliciosos, accesos no autorizados y amenazas emergentes como el abuso de la API. La seguridad de la API garantiza conversaciones seguras y auténticas entre aplicaciones".
La seguridad de las API de terceros implica aplicar medidas como la autenticación, la autorización, el cifrado y la supervisión para garantizar la privacidad, integridad y disponibilidad de la API y sus datos, afirma Doug Ross, vicepresidente de insights y datos de Sogeti, parte de Capgemini. "La seguridad de las API es un aspecto crítico del desarrollo de software, ya que a menudo sirven de puente entre distintos sistemas y se utilizan cada vez más para intercambiar información sensible y crítica", afirma Ross.
Garantizar la seguridad de las API de terceros es crucial por muchas razones. Por un lado, las API pueden acceder a información sensible, como datos de usuarios o de pago. Por tanto, si una API de terceros se ve comprometida, pueden producirse filtraciones de datos que afecten tanto a los usuarios finales como a las empresas que confían en las API. Además, las API inseguras pueden exponer las aplicaciones o los sistemas a vulnerabilidades y ataques, causando potencialmente fallos del sistema o un acceso inadecuado a los recursos.
La seguridad de las API de terceros también es importante en el mantenimiento del compliance, ya que muchas industrias tienen regulaciones estrictas en torno a la protección de datos y la privacidad, por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Portabilidad y Responsabilidad del Seguro Médico de los Estados Unidos. Garantizar la seguridad de las API de terceros ayuda a las organizaciones a cumplir estas normativas y evitar sanciones de los organismos de supervisión, afirma Ross.
Además, un fallo de seguridad que afecte a una API de terceros puede dañar la reputación de las empresas, provocar una pérdida de confianza de los clientes y afectar potencialmente a las asociaciones empresariales.
He aquí cinco buenas prácticas para garantizar la seguridad de tus API de terceros:
Mantener un inventario de API que incluya las API de terceros
Mantener un inventario de API que se actualice automáticamente a medida que cambia el código es un primer paso fundamental para un programa de seguridad de API, afirma Jacob Garrison, investigador de seguridad de Bionic. Se trata de un primer paso fundamental para un programa de seguridad de API, que debe distinguir entre las API de origen y las de terceros. Y fomenta la supervisión continua de las TI en la sombra, es decir, las API que se incorporan sin notificarlo al equipo de seguridad.
"Para asegurarse de que su inventario es sólido y procesable, debe hacer un seguimiento de las API que transmiten información crítica para el negocio, como información de identificación personal y datos de tarjetas de pago", afirma. Un inventario de API es complementario a la gestión de riesgos de terceros, según Garrison. Cuando los desarrolladores utilizan API de terceros, merece la pena considerar evaluaciones de riesgos de los propios proveedores.
"Por ejemplo, supongamos que su equipo de ingeniería de datos quiere enviar datos de identificación personal a Tableau para su análisis", dice. "En ese caso, vale la pena evaluar si la postura de seguridad de ese proveedor está dentro de la tolerancia al riesgo de su organización".
Frank Catucci, jefe de tecnología e investigación de seguridad de Invicti Security, está de acuerdo en que incluir un inventario de API de terceros es fundamental.
"Necesitas que las API de terceros formen parte de tu inventario general de API y tienes que verlas como activos que te pertenecen, de los que eres responsable", dice. "Por lo tanto, asegurarse de que tiene un recuento preciso de qué API se están ejecutando dónde y qué están haciendo es un primer paso importante porque no se puede asegurar lo que no se conoce".
Investigar a los proveedores de API de terceros
Según McKenney, las organizaciones deben elegir proveedores reputados con sólidas medidas de seguridad, vigilar la actividad de las API en busca de comportamientos sospechosos y utilizar el cifrado. Por ejemplo, utilice una API de procesamiento de pagos sólo de un proveedor de confianza, supervise regularmente los registros de la API para detectar cualquier actividad inusual y asegúrese de que todos los datos confidenciales enviados a través de la API estén cifrados.
En el caso de terceros, es importante crear un proceso de gestión de la seguridad del proveedor, afirma Bryan Willett, director de seguridad de la información de Lexmark. "Ese proceso debe estar estrechamente integrado en el proceso de adquisición, de modo que todos los proveedores y contratos pasen por él", afirma. "El proceso debe consistir en unos cuantos subprocesos, incluyendo la evaluación del riesgo del proveedor, la puntuación de seguridad del proveedor y la supervisión continua, así como una revisión contractual para garantizar que los términos se ajustan a la tolerancia al riesgo de la organización".
Garantizar las pruebas de seguridad de proveedores de API de terceros
Es importante que las empresas establezcan los controles de seguridad generales de sus proveedores, así como los controles de seguridad a través de las diferentes etapas del ciclo de vida de la API de terceros para garantizar que las protecciones adecuadas se ajusten a su tolerancia al riesgo, dice Willett.
"Por ejemplo, es deseable que el ciclo de vida del desarrollo de la seguridad esté arraigado en la cultura de la organización, desde la formación hasta las puertas de acceso, a lo largo de todo el proceso de entrega, para garantizar que se piensa en la seguridad desde el principio", afirma. Esas puertas deben incluir prácticas que aborden los riesgos creados por el código fuente desarrollado por el proveedor y las bibliotecas de código abierto incluidas en el producto, según Willett.
"Hay que comprobar que [los proveedores] aplican buenas prácticas de pruebas de seguridad utilizando las herramientas más modernas para realizar análisis estáticos de código, pruebas fuzz y análisis de vulnerabilidades", afirma Willett. "En el espacio operativo, quieres ver pruebas de un sólido proceso de gestión de cambios con controles de acceso adecuados sobre los datos y la implementación de principios zero trust".
Los proveedores también deben contar con programas maduros de gestión de vulnerabilidades que supervisen el entorno operativo en busca de parches y un acuerdo de nivel de servicio definido sobre cuándo se parchearán las vulnerabilidades.
Probar tú mismo las API de terceros
Aunque las organizaciones no hayan escrito las API de terceros y no las controlen, Catucci afirma que pueden probarlas como lo harían con sus propias API. Por ejemplo, las empresas podrían utilizar las funciones de pruebas dinámicas de seguridad de aplicaciones para escanear las API de terceros en busca de vulnerabilidades conocidas, componentes vulnerables o componentes obsoletos que puedan existir dentro de esas API.
"Tienes que probarlas aunque no sean tuyas", afirma. "Si descubres que una API de terceros tiene una vulnerabilidad específica, es posible que desees bloquear esa funcionalidad o no usar esa API hasta que se solucione".
Rotar las claves API
Otra consideración de seguridad es la rotación de las claves API, dice Willett. Cuando un usuario llama a una API de terceros, debe proporcionar una cadena única con su solicitud, conocida como clave. Esta cadena indica al proveedor qué cliente está realizando la llamada. Es necesario rotar las claves con regularidad por dos razones principales.
"En primer lugar, si un mal actor intercepta su clave API, puede generar peticiones en su nombre. Dependiendo de los protocolos de seguridad utilizados por el tercero, esta clave puede ser suficiente para extraer información sensible asociada a su cuenta", dice Willett. "En segundo lugar, las API de terceros cuestan dinero. Las claves API se utilizan con fines de facturación. Un actor malintencionado puede lanzar rápidamente solicitudes de API utilizando su clave para aumentar su factura. Por estas dos razones, un programa de seguridad de API debe incluir la rotación regular de claves".
Conclusión: no dejar las API desprotegidas
Los ataques basados en API son muy sofisticados y requieren defensas igualmente robustas. Es más, las brechas de terceros son ahora más prominentes que nunca, dice Jeremy Ventura, director de estrategia de seguridad y jefe de seguridad de la información de campo en ThreatX.
"Muchas brechas de seguridad de alto perfil, como las de Peloton y Nissan, fueron el resultado de API desprotegidas", afirma. "Atacar la cadena de suministro de una organización es muy atractivo para los ciberdelincuentes que buscan poner un pie en la puerta de una red".
En consecuencia, es fundamental que las empresas comprendan que las amenazas a la seguridad de las API de terceros no son solo un problema de TI, sino un problema empresarial central que afecta a todas las organizaciones y clientes implicados, añade Ventura.
